דוא"ל איננו מדיום מאובטח

דוא"ל תמיד היה איתנו, עוד לפני ימי הרשתות החברתיות, לפני הבלוגים, אפילו לפני פתיחת המרשתת לציבור, ובהחלט לפני שתקני הצפנה כמו SSL או TLS היו בשטח. למעשה דואר אלקטרוני הנישא על גבי UUCP או SMTP קיים בצורה די דומה לצורתו הנוכחית כבר במעט חצי מאה. סימן השטרודל בכתובת יחגוג 50 בשנה הבאה, וה-RFC הראשון עוד שלוש שנים. נולד חודש אחרי, הצוציק.

מצד אחד זה מראה על יציבות בלתי רגילה. תקנים נכנסו ויצאו, HTTP למשל עבר באותה התקופה שינויים אדירים, התפצל והתאחד, מפלרטט עם UDP, והשתלט על הקשקשת ברשת. פרוטוקולים אחרים לבלבו וקמלו, אבל איכשהו הדוא"ל נשאר איתנו באותה הצורה. נכון שקראנו דרך הדפדפן, אאוטלוק, יודורה, mutt, ועוד מאות תוכנות, אבל מלבד שינויים קלים הבסיס נשאר ונשאר די אמין (מלבד פילטרים חזקים מדי לספאם…). מצד שני זה אומר שתקני ההצפנה לא הגיעו לשם.

כשאני אומר הצפנה זה לא רק שליחה וקבלה של דוא"ל מוצפן במפתחות ציבוריים, GPG או תעודות X.509 ושאר תקנים מסורבלים, הלוואי שזה היה תופס כראוי (אתם עדיין מוזמנים להתכתב איתי עם GPG דרך Thunderburd+Enigmail אבל אני הראשון להודות שזה מסובך מכדי להיות שימושי). אני מתכוון להצפנה פשוטה של TLS, אותו HTTPS בתחילת כתובות מרשתת שהיום הדפדפן יזהיר אתכם כשאתם משתמשים בגרסה הלא מאובטחת של הגישה לאתר.

כמו שכתבתי פה בפוסט הקודם, עברתי בשנה האחרונה טיפול בסרטן המעי הגס. זה כלל בדיקות קולונוסקופיה, CT, MRI, שני ניתוחים, חצי שנה של טיפולי כימו והמון המון קביעות תורים אצל אונקולוגים, גסטרואנטרולוגים, יועצים גנטיים וסתם הפעלות של ביטוח פרטי ורופאת קופ"ח. כל זה להגיד שהייתי צריך לשלוח ולקבל המון ניירות שבהם מתנוססים מספר תעודת הזהות שלי ובחלק מהמקרים גם צילום מלא של תעודת הזהות שלי. לעשות את זה בדוא"ל לא מקובל עלי כי יש לנו מה להפסיד.

בעזרת ת"ז אפשר לעשות לא מעט נזק לאזרח ישר. אפשר להצליב עליו מידע מכמה מאגרים, חוקיים יותר ופחות, אפשר לנסות להזדהות מול נותני שירות שלו ולגנוב זהות, למרות שבנקים ומשרדי ממשלה שונים הפסיקו לתת שירות רק עבוד מספר ת"ז, מומחים להנדסה חברתית עדיין מכירים טריקים להיעזר בזה. צילום של תעודת הזהות כולה מכיל גם את תאריך ההנפקה שלה וכאן אנחנו כבר מספקים דרך להיכנס לאתרים ממשלתיים כמו "הר הכסף" ו"הר הביטוח" ועל זה אני ממש לא ממליץ. מה גם שאת תעודת הזהות הישראלית קל לזייף, במיוחד אם כמוני אתם עדיין מסרבים לעבוד לתעודה החדשה כל עוד המאגר הביומטרי עדיין קיים.

אז מה עשיתי? תאמינו או לא נאלצתי להשתמש בפקסים. איכס. יש לנו פה מדפסת מולטיפנקשן בבית, לדעתי אלו המודמים האנלוגיים האחרונים בעולם שעוד מיוצרים, אבל ככה אני לפחות יודע שרק השב"כ עשוי להאזין, ולא כל ארחי פרחי במרשתת. לשב"כ יש ממילא את כל המידע עלי שבא לו, אז זה זניח.

זה לא שאין תקן למשלוח דוא"ל מוצפן בין שרת לשרת. פשוט הרבה מוסדות לא טורחים לממש אותו. שרת הדוא"ל האישי שלי ינסה לשלוח לג'ימייל בצורה מוצפנת ויצליח, אבל מה לגבי קופת החולים שלי? והמכון שבו עשיתי את הקולונוסקופיה? ובי"ח שיבא שם יושבים האונקולוגית והכירורג שלי? ובי"ח בילינסון שם אני אמור לעבור יעוץ גנטי? יותר מזה, כשאני הולך לצלם את השיניים הם שולחים בדוא"ל את הצילומים לרופא השיניים שלי, מזהה ביומטרי אחו-שלוקי אם תרצו, כולל תעודת הזהות, ואין לי מושג איך הדוא"ל עובר ביניהם.

אם מסקרן אתכם אתם יכולים לבדוק עם כמה כלים פשוטים בשורת הפקודה בלינוקס. לכל דומיין (=שם מתחם) במרשתת אמורות להיות רשומה אחת או יותר מסוג MX ואפשר לראות מי מטפל להם בדוא"ל והאם כתובת הIP הנ"ל עונה בפורט 465/tcp – אחרת זה נופל לפורט הרגיל הבלתי מוצפן 25/tcp שעליו אפשר להפעיל TLS אבל סביר להניח שזה כבר לא יהיה אם 465 לא פתוח. הבעיה היא שאין פה איזה מנעול ירוק או סימן קריאה אדום. לא קל לברר מה קורה עם מכתב מרגע ששלחתם, אלא אם כן תוכלו לראות את כל המסלול שעבר עד שהגיע ליעד (במילים אחרות תשכחו מזה). בדקתי את המצב בכמה גופים, והתעודדתי שרובם מקפידים, רק שלפחחות אחד מאלו שהזכרתי לעיל השתמש בספק אינטרנט ציבורי למקרה שהשרת שלו מושבת (כלומר רשומות MX נוספות בעדיפות נמוכה) ושם לא הייתה הצפנה, או במילים אחרות, אם תקרה להם תקלה טכנית זמנית, כל הדוא"ל שלהם יוזרם לשרת פרטי בצורה לא מוצפנת עד שהם יחזרו לתפקוד.

כבר קרה לי גם שישבתי מול סוכן ביטוח או יועצת השקעות שביקשו לצלם את תעודת הזהות שלי ועשו את זה למרבה התרעומת עם הסמארטפון הפרטי שלהם. לאיפה הולך הצילום? "אה, אני שולח את זה לעצמי לאימייל של העבודה". יופי נחמה. בדרך זה גם בטח מתרפלק לגוגל פוטוז ונשמר בחשבון הענן שלך לנצח. תודה באמת. ולא נכנס פה לשליחי דואר שמצלמים לך את התעודה כהוכחה שקיבלת את החבילה, או שכל סופר שכונתי רוצה את מספר הזהות בשביל כרטיס ההנחות שלהם. נופ. זה בכלל מיותר וחודרני.

פתרון אפשרי אחד: פרוייקט מאוד חביב של מוזילה הוא Mozilla Send, שלצערי הומת בטרם עת. למרבית המזל הוא עדיין תוכנה חופשית ויש סיכוי טוב שאחרים יתקינו אותו בכל מיני מקומות שנצטרך להחליט אם הם אמינים ולא מילכדו את התוכנה. אני כנראה אקים אחד לשימושי הפרטיים על השרת שלי. אני רק מקווה שימשיכו לתחזק את הקוד שלו. זה מאפשר לשלוח קבצים בצורה מוצפנת, שהמפתח שיוכל לפתוח אותם (ורק פעם אחת) הוא לינק שאותו אפשר לשלוח דרך דוא"ל או תוכנות מסרים שונות. אם הלינק נשלח בדוא"ל זה לא מושלם, אבל לפחות תדעו שברגע שהמקבל הוריד אותו הוא נמחק מהשרת לבלי שוב והלינק הופך לבלתי שימושי. במקרה הנדיר שמישהו תפס את הלינק והוריד את הקובץ לפני המקבל המיועד, לפחות תהיה לכם הוכחה שהקובץ נגנב ע"י מאזין שלישי ולא ע"י המקבל. ברכותי, הפרנויה הוכחה כרלוונטית. חסרונות – לא ברור אם או מתי יחזור השירות, לא ברור אם למישהו בתוך מוסד כמו בנק/ביטוח/קופ"ח יש בכלל גישה לשרת החיצוני שאליו הלינק שנתתם.

אפשרות אחרת – אם החלטתם שגוגל באמת לטובתכם ולא רק בהצהרות, וגם אתם וגם המקבל משתמשים בג'ימייל, אפשר לסמוך על זה ששליחה בין שתי תיבות ג'ימייל היא בטוחה ולא תדלוף מחוץ לשרתי החברה. החסרונות הם שלגוגל יש גישה. באותה הצורה גם העלאה של הקובץ לגוגל דרייב, דרופבוקס, מיקרוסופט וואן דרייב ודומיהם.

אפשרות נפוצה אבל לא הכי נוחה – שליחה בוואטסאפ. קל לצלם את המסמכים ולשלוח JPG או PDF לצד השני, זה מוצפן מקצה לקצה. הבעיות – בטלפון השולח והמקבל יש עוד יישומים שרואים את הקובץ הנשלח, אז רוגלות, תוכנות גיבוי, גוגל פוטוז ושאר דברים שאנשים לא מאוד טכניים שוכחים לקחת בחשבון עלולים לעשות העתקים של שמידע. כמו כן לא הייתי שולח את זה לטלפון הפרטי של עובד חברת ביטוח וכדומה.

אפשרות טיפה יותר טובה היא סיגנל, שהמציאה את הפרוטוקול שבו וואטסאפ משתמשת, והיחידה שידוע שמיישמת אותו נכון כי הקוד פתוח. הבעיה שלא הרבה בארץ ובעולם משתמשים בה, ושאר החסרונות כמו שכתבתי לעיל.

על טלגרם לא בא לי לדבר. הם טוענים שהם מאובטחים אבל מומחים מהתחום מעקמים את האף על המימוש שלהם, הם בחרו בהצפנה לא תקנית ולא מוכחת פרטית משלהם, וזה אומר מנורות אזהרה.

הצפנת GPG מקצה לקצה דרך כלים כמו אניגמייל או KeyBase קיימים ומצויינים, אבל רחוקים מלהיות לגמרי שמישים למשתמש הממוצע. אני אשמח אם יותר ישתמשו בזה להעברת מסרים וקבצים, אבל ברור שזה איננו פתרון אידאלי לכולם.

אז מה הפיתרון האידאלי? חברות הביטוח וקופות החולים צריכים לאפשר העלאת קבצים בצורה מאובטחת באתר שלהם או דרך אפליקציה ייעודית (איכס) ועד אז, אל תנתקו עדיין את קו הבזק ומכשיר הפקס שלכם. לא, שימוש בחברות של פקס-דרך-דוא"ל לא מוסיפות אבטחה, להפך, זה מוסיף כמעט בוודאות חוליה לא מוצפנת לשרשרת שאחרת הייתה יכולה להיות פרטית.

(את הפוסט הזה העליתי בעקבות שנה וחצי של תסכולים מול מערכת הבריאות והביטוח, אבל גב הגמל נשבר בעקבות הבחירות המקוונות המתקרבות בעמותה לידע ציבורי, שלדעתי אינן מאפשרות לי להצביע במתכונת שהוצגה – בלינק פירטתי גם חלופה פרקטית להצבעה מקוונת בעמותה שכנראה לא תיושם נכון לכרגע)

תגובה אחת בנושא “דוא"ל איננו מדיום מאובטח”

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *